揭密针对Android设备的物理取证方法（三）

今天，我将会介绍一些其他的Android设备的物理取证方法。前两次的分析，你可以点此（1.2）详细了解。

对摩托罗拉智能手机的取证

Oxygen开发了一种基于bootloader级别的CVE漏洞的技术，该技术允许使用Oxygen Forensic Suite的取证专家成功绕过2015年至2017年间生产的部分摩托罗拉智能手机的加密保护。其中包括Moto X，许多Moto G的升级版本，包括G5，Moto Z和Moto Z等等。一旦专家将兼容的摩托罗拉智能手机以“快速启动”模式连接到PC，并在Oxygen Forensic Extractor（取证套件的一部分）中选择“Motorola”选项，就会自动调用漏洞。

利用Oxygen Forensic Suite的优点

1.此方法可以轻松从未加密的摩托罗拉设备中提取数据；

2.通过快速启动模式进行工作的独立芯片组；

3.如果未设置密码或密码已知，则可以提取加密设备的数据，不过在此情况下，必须在取证期间指定密码；

4.支持Android 7.0

利用Oxygen Forensic Suite的缺点

1.所针对的型号有限；

2.即使是支持的手机型号，也要看具体版本，例如，支持Moto G 2的World版本，而对同一型号的Verizon变体则不支持；

3.即使存在漏洞，也不支持所有版本的软件；

4.仅限于在2017年5月之前打过安全补丁的手机；

目前，Oxygen Forensic Suite手机取证分析工具正在被世界各地广泛使用，客户现在已经涉及众多行业，有各个执法部门、警局、军队、海关和税务部门，此外还有其他一些政府部分也开始使用。另外，它对iPhone手机也有着强大的取证分析能力。除了能够取得同类取证产品可以获得的通用数据外，Oxygen Forensic Suite可以读取出更多的特有的信息。我们采用了底层的通讯协议，可以获取到：手机基本信息以及SIM卡信息、 联系人列表、组信息、快速拨号、未接/打出/打入号码、标准位置的短信息/彩信/电子邮件文件夹、自定义的短信息/彩信/电子邮件文件夹、删除的短信息(包含一些限制，支持部分型号)、短信中心时间戳、日历/日程、代办事宜、文本便签、照片、视频、音频、LifeBlog 数据 (所有活动，包含地理信息)、Java 程序、手机内存和闪存卡中的文件系统数据、GPRS和Wi-Fi使用纪录、录音文件、以及更多的信息。

对Android设备进行物理取证的其他方案

通过以上了解，我们可知，对手机采用多么高难度的加密，都会被破解。因此，随着全盘加密，基于文件的加密，安全启动和正确实施的安全启动链，即使手机运行的是过时的Android版本，例如Android 6.0，传统的物理取证方法也已经不可用。但你有没有想过，是否有人能够通过锁屏方法来进行取证？Android中许多优秀的安全措施往往被用户忽视，或者通过使用某些不太安全的措施进行保护。目前Android Smart Lock是可以对设备的整体安全性产生严重影响的功能之一。

如果取证人员能够越过锁定屏幕这个过程，则可以通过生成本地备份来尝试进行逻辑读取。与iOS相比，Android本地备份非常复杂。从Android 5.0开始，使用“adb backup”生成的备份包含比以前少得多的数据。至于其中有多少是对备份和恢复设备有用的内容，则还不一定。如果使用“adb backup”是你取证的最后手段，它总比没有好。如果你可以将账户中可以通过MTP轻松访问的“sdcard”内容进行挂载，那么总比什么都没有要好。但是，许多Android OEM都提供了他们自己的备份和恢复设备的解决方案。

以小米为例，如果被取证的设备不是最新通过谷歌认证的版本，则通过手机上的MIUI内部工具进行的本地备份将包含手机中的所有内容。其中，就包括沙盒应用程序数据，该数据是开发人员明确禁止备份的应用程序。而对于最新被谷歌认证的设备（如小米Mi Mix 2），它们似乎能很好保护开发者设置，并且任何人都无法备份不允许备份的应用程序。

另外，LG，三星，华硕和索尼都有自己的备份解决方案。有时候，这些解决方案仅适用于某些设备或特定版本的Android。一些制造商（例如三星）甚至还有好几种工具来备份不同型号的手机内容。如果你可以使用其中一种工具，那“adb backup”方法就可以不用考虑了，因为你可以访问更多的数据。有趣的是，一些提供本地备份工具的制造商会对“adb backup”中包含的取证命令实施了加更严格的限制。

最后，如果设备根本无法进行物理访问，该怎么办？如果是这种情况，你仍然可以通过直接从用户的谷歌帐户获取数据来执行云端取证。因为谷歌云端的有关用户和商店服务器上的数据量实在是太多，实际上，即使你可以执行文件系统转储，那与从云端获取的数据相比，都是九牛一毛。

总结

虽然，目前市面上的几家大型取证服务商，都号称他们可以对数以千计的手机进行取证分析，但由于加密技术的不断提高，他们提供的这些方法能成功提取Android智能手机信息的概率也会越来越低。虽然存在一些位于某一类手机上的加密漏洞，但这些方法并不是通用的，并且通常仅适用于没有进行安全启动的FDE智能手机。任何其他配置的手机在取证时，都需要输入设备本身的密码，即使设备位于取证服务商的广告中所支持的型号列表中，也可能会出现取证问题或根本不可能进行取证。

那么，加密的Android设备是否安全？只能说，与iPhone（例如iPhone 7, iPhone8和iPhoneX）相比， Android智能手机相对不太安全。